Roma – Sono due i virus noti come Satanik che in questi giorni sono stati avvistati in Rete. Il primo è un codice piuttosto distruttivo che non si replica molto rapidamente, il secondo ha invece maggiori capacità di replicazione ma è meno dannoso.
Il primo virus è noto come HTML_Satanik.B , un codice che, secondo Trend Micro, non va temuto in quanto non è segnalato come ampiamente diffuso, probabilmente a causa delle sue caratteristiche tecniche.
Satanik.B si diffonde in due modi: via email o via chat IRC. Nel primo caso il virus arriva come un allegato di posta elettronica dal nome sempre diverso, un messaggio che ha come subject la frase “I picked this one especially for you my Sweetheart!” e come testo: “I wanna fuck you like an animal!”.
Tramite IRC può diffondersi perché una delle sue caratteristiche è quella di riscrivere file di sistema, tra cui autoexec.bat, e dunque al primo riavvio della macchina infetta fa partire una serie di “operazioni”. Tra queste anche l’inserimento di questa stringa durante il caricamento di Windows: “SATANIK CHILD S A T A N I K C H I L D SATANIK CHILD A virus by Satanik Child has been detected! Windows is destroyed! (c) SC”.
A questo segue la ricerca, da parte del virus, del percorso c:mirc o c:mirc32, directory nella quale viene spesso installato mIRC, il più noto dei programmi utilizzati da chi frequenta le chat su IRC. Se trova la directory, il virus sovrascrive il file Script.ini con un worm IRC che invia il virus ogni volta che l’utente si collega ad un canale IRC.
Satanik.B compie anche una serie di modifiche del registro e si consiglia dunque di scaricare gli ultimi aggiornamenti dei software antivirus per proteggere i propri sistemi.
L’altro Satanik che sta girando in queste ore, invece, è un fastidioso worm più veloce nella sua diffusione.
Il worm “VBS.Satanik.Child”, per gli amici Satanik, è stato segnalato anche in Italia e c’è chi teme che possa diffondersi. Va detto però che si tratta di una versione rivista e corretta di un altro virus ben noto, Anna.worm , e secondo i labs di Symantec chi è protetto contro il primo è protetto anche contro Satanik.
Il worm è infatti stato realizzato sfruttando quel Vbs Worm Generator di cui si è molto parlato ultimamente, un tool di creazione virus messo a punto dall’argentino Kalamar che recentemente ha annunciato che “non ci saranno nuove versioni” del Generator?
Symantec e gli altri produttori di software antivirus “schierano” contro i worm così realizzati gli aggiornamenti dei propri software. Secondo Symantec oltre a Satanik ci sono almeno altre otto versioni di virus realizzati con il generator di Kalamar. Questi worm sono identificati dall’antivirus Symantec come “Bloodhound.VBS.worm”.
Il funzionamento di Satanik è quello tipico di tutti questi worm. Arriva in un attachment infetto di posta elettronica e il messaggio invita l’utente ad aprirlo. Se questo avviene in ambito Windows, allora il worm si infila nel sistema e si autoinvia a tutti gli indirizzi presenti nella rubrica di Outlook.
Ti potrebbe interessare
5 mar 2001